La AEPD da respuesta en este informe https://www.aepd.es/media/informes/informe-juridico-rgpd-camaras-en-tiempo-real.pdf a la consulta planteada acerca de si la reproducción de imágenes en tiempo real que no graban se encuentran sometidas al RGPD.

En este informe, lo primero que se analiza es si el supuesto planteado existe un tratamiento de datos personales.

En Art.4.2 del RGPD define el tratamiento de datos como “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.

De la definición anteriormente indicada la AEPD nos indica que, aunque las imágenes no sean grabadas, la reproducción de las mismas en tiempo real supone un tratamiento de datos y por tanto está sometida al RGPD.

Dado que consiste en un tratamiento de datos personales, el Responsable del tratamiento está sometido a ciertas obligaciones y como tal debe efectuar el tratamiento de las imágenes en tiempo real con fines de videovigilancia.

Dentro de este tratamiento, el Responsable del mismo, está obligado a tener un registro de actividades de tratamiento.

También, el Responsable debe facilitar a los interesados un Derecho de información, el cual se efectúa mediante la colocación, en un lugar visible, del correspondiente cartel de videovigilancia y tener a disposición de los interesados impresos en los que se determine la información del mismo.

IMPORTANTE

 

Hemos de efectuar la adaptación del tratamiento de imágenes en tiempo real y a su vez informar a los interesados mediante la colocación del correspondiente cartel de videovigilancia.

La AEPD da respuesta en este informe https://www.aepd.es/media/informes/informe-juridico-rgpd-drones.pdf  a la consulta planteada por una empresa de operadores de drones.

En este informe, lo primero que se analiza es la definición de dron. Con carácter genérico, se considera un vehículo aéreo de distintas categorías y capacidades variables que pueden incorporar, en su caso, sistemas de detección y equipos de radiofrecuencia. Según la AEPD lo relevante será el equipamiento de captación y el procesamiento de los datos personales de personas físicas lo que determine la aplicación de la legislación de protección de datos.

Los drones pueden realizar funciones de captación de imágenes para fines de videovigilancia, eventos deportivos, bodas, gestión de infraestructuras, etc. En todos estos supuestos se ha de cumplir con los principios esenciales de limitación de la finalidad, minimización de datos personales y licitud del tratamiento, es decir, que los datos sean recogidos de forma lícita atendiendo a toda la legislación y regulación propia relativa a los drones.

Los operadores de drones, en el ámbito de la normativa de protección de datos, operan como encargados del tratamiento, por lo que, además de cumplimentar un contrato de prestación de servicios, con sus propias características, deben regular el tratamiento de los datos personales con un contrato de acceso a datos.

IMPORTANTE

 

Se debe informar de la forma más apropiada posible y con carácter previo al uso de los drones. Indicando claramente quién es el responsable del tratamiento y las finalidades

La AEPD da respuesta en este informe https://www.aepd.es/media/informes/informe-juridico-rgpd-drones.pdf  a la consulta planteada por una empresa de operadores de drones.

En este informe, lo primero que se analiza es la definición de dron. Con carácter genérico, se considera un vehículo aéreo de distintas categorías y capacidades variables que pueden incorporar, en su caso, sistemas de detección y equipos de radiofrecuencia. Según la AEPD lo relevante será el equipamiento de captación y el procesamiento de los datos personales de personas físicas lo que determine la aplicación de la legislación de protección de datos.

Los drones pueden realizar funciones de captación de imágenes para fines de videovigilancia, eventos deportivos, bodas, gestión de infraestructuras, etc. En todos estos supuestos se ha de cumplir con los principios esenciales de limitación de la finalidad, minimización de datos personales y licitud del tratamiento, es decir, que los datos sean recogidos de forma lícita atendiendo a toda la legislación y regulación propia relativa a los drones.

Los operadores de drones, en el ámbito de la normativa de protección de datos, operan como encargados del tratamiento, por lo que, además de cumplimentar un contrato de prestación de servicios, con sus propias características, deben regular el tratamiento de los datos personales con un contrato de acceso a datos.

IMPORTANTE 

 

Se debe informar de la forma más apropiada posible y con carácter previo al uso de los drones. Indicando claramente quién es el responsable del tratamiento y las finalidades

 

El término de brecha de seguridad se define en el art.4.12 del RGPD, como todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales, la conservación o tratamiento de forma ilícita, así como la comunicación o el acceso no autorizado a los datos, para que sea tenida en cuenta como brecha de seguridad, debe afectar a datos de carácter personal.

¿Qué han de tener en cuenta el responsable y encargado del tratamiento ante una brecha de seguridad?  Independientemente del tamaño de la entidad y de la gravedad y consecuencias del incidente, el responsable y encargado del tratamiento lo tienen que dejar documentado en el registro de incidencias, incluyendo entre otros datos, los hechos relacionados con el incidente, sus efectos y las medidas correctivas que se han adoptado. Así, por ejemplo, la pérdida de un ordenador portátil, el acceso de un empleado no autorizado a la base de datos y su borrado, el envío de un e_mail a un destinatario incorrecto, constituyen todas brechas de seguridad que deben documentarse. Este documento lo pondremos a disposición de la autoridad de control, cuando ésta nos lo requiera, y verificar así, que cumplimos con lo dispuesto en la norma.

IMPORTANTE

El encargado del tratamiento debe notificar las quiebras de seguridad al responsable, en caso de no comunicárselas se considera una infracción grave

La AEPD da respuesta en este informe https://www.aepd.es/media/informes/2018-0173-comunicaciones-comerciales.pdf  a la consulta planteada por una entidad, en relación con el tratamiento de los datos de sus clientes con fines de mercadotecnia, publicidad y comunicaciones comerciales.

Lo primero que encontramos en este informe es la diferencia entre las comunicaciones comerciales realizadas por vía electrónica de aquellas, que tienen lugar por otros medios, ya que la legitimación y la ley principal que se aplica será diferente.

Las comunicaciones realizadas por vía electrónica, deben regularse por lo dispuesto en el art.21 de la LSSI, con lo que se convierte en ley especial sobre la norma general del RGPD. En este caso, el envío de comunicaciones comerciales solo podrá efectuarse con el consentimiento expreso del interesado o bien, cuando haya existido una relación contractual previa y los datos se hayan obtenido de forma lícita. Las comunicaciones tienen que referirse a productos o servicios de la propia empresa y que sean similares a los que fueron adquiridos con anterioridad.

Por otro lado, las comunicaciones comerciales realizadas por otros medios no electrónicos aplicarán el contenido del RGPD para el tratamiento de datos personales, así será el consentimiento expreso del interesado o bien el interés legítimo de la entidad, cuando no prevalezcan los intereses legítimos del interesado y exista una relación contractual previa.

 

IMPORTANTE

 

Debe garantizarse en todo momento al destinatario de los envíos comerciales, un procedimiento sencillo y gratuito para ejercer su derecho de oposición al tratamiento con fines de mercadotecnia directa.

El responsable y encargado del tratamiento deben ser proactivos y cumplir con la normativa de protección de datos, en este sentido una de las obligaciones que nos exige el reglamento es garantizar la seguridad de los datos personales.

En el art.32 del RGPD se identifican algunas de las medidas técnicas y organizativas que el responsable y encargado del tratamiento deben aplicar para conseguir un nivel adecuado de seguridad, entre ellas:

32.1.d Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas.

En este sentido, el Reglamento se está refiriendo a las auditorías como una de las medidas técnicas que se deben aplicar para salvaguardar la información.

A lo largo del articulado del RGPD, también se pueden encontrar otras referencias a las auditorías, cuando nos indica, en el art. 28 del RGPD, que una de las cláusulas del contrato de acceso a datos por cuenta del responsable, el encargado del tratamiento permitirá y contribuirá a la realización de auditorías, incluidas las inspecciones por parte del responsable o incluso de otro auditor autorizado por dicho responsable.

Así mismo en el art.24 del RGPD, se recoge que el responsable aplicará las medidas adecuadas, con el fin de garantizar y demostrar que el tratamiento es conforme con el RGPD, dichas medidas se revisarán y actualizarán cuando sea necesario.

IMPORTANTE

“La falta de adopción de medidas técnicas y organizativas para garantizar un nivel de seguridad adecuado, según el artículo 32.1 del Reglamento, es una falta grave.

Con fecha 17/07/2017 tuvo entrada una denuncia contra el GRUPO KONECTA CENTROS ESPECIALES DE EMPLEO, la cual se resolvió en el procedimiento sancionador PS/00509/2017.

 

La denunciante presentó escrito de denuncia dirigido a la Inspección de Trabajo, contra este grupo, manifestando que sus datos personales junto con los datos de los demás trabajadores de la empresa habían sido de conocimiento público, ya que cualquier trabajador que accediera a un equipo informático podía ver y tener acceso a todos y cada uno de los datos personales, incluidos entre otros, los justificantes médicos y notificaciones sobre grados de minusvalías. En la demanda se presentó, como prueba, la ruta de acceso a las carpetas que contenían los datos de carácter personal.

La entidad presentó un escrito ante la Inspección de Trabajo informando que ya se habían tomado las medidas adecuadas para que casos como ése no vuelvan a ocurrir, limitándose el acceso a los datos sólo a personal autorizado, incluso si fuera necesario se habilitaría una autorización expresa en cada caso.

 

La directora de la  AGPD, ante los hechos probados, resolvió sancionar al Grupo Konecta, con la cantidad de 15.000 euros por infracción grave, del art.9.1 de la LOPD, ya que no mantuvo los ficheros y programas con las debidas condiciones de seguridad para evitar el tratamiento o acceso no autorizado a la información.

 

IMPORTANTE:


El Responsable del tratamiento y Encargado deben adoptar las medidas de tipo técnico y organizativo necesarias para garantizar la Confidencialidad , Seguridad e Integridad de los datos personales.

Las nuevas tecnologías cada vez se van introduciendo más en nuestra actividad diaria, es el caso del uso de las aeronaves pilotadas de forma remota, popularmente conocidas como drones.

El dron como equipo aéreo puede pertenecer a distintas categorías con capacidades diferentes. Entre otros puede llevar sistemas que permitan la grabación de imágenes, sistemas de detección o equipos de radiofrecuencia. El que nos ocupa en relación con la protección de datos es el primer supuesto.

A este respecto y siempre que no estemos ante el uso del dron como videovigilancia de espacios públicos, el cual estará regulado por la Ley Orgánica 4/1997, de 4 de agosto, por la que se regula la utilización de videocámaras por las Fuerzas y Cuerpos de Seguridad en lugares públicos, tendremos que cumplir con la normativa del RGPD para el tratamiento de las imágenes.

 

Serán a tener en cuenta los siguientes puntos: 

  • Al tratarse de la aplicación de una nueva tecnología se valorará la realización de una Evaluación de impacto.
  • Se aplicará el principio de minimización de datos, borrando o anonimizando siempre que fuera posible.
  • Se informará a los afectados, para ello, el grupo de trabajo del 29 recomienda que sea multicanal, a través de la web de los operadores de los drones o incluyendo, por ejemplo, la información en periódicos.

 

IMPORTANTE:

El operador de los drones como encargado de tratamiento, deberá cumplir además también con las responsabilidades de la Ley 18/2014 de navegación aérea española.

 

El informe Jurídico 0437/2012 resuelve sobre el establecimiento de una contraprestación como tasa o precio público, por la emisión de copias de la historia clínica.

Tal y como establece la ley 41/2002 de 14 de noviembre reguladora de la Autonomía del Paciente y Derechos y Obligaciones en materia de información y documentación clínica, en el art.48, regula el derecho de acceso del paciente a la historia clínica y a obtener copia de los datos que figuran en ella.

Serán los centros los que regulen ese procedimiento teniendo en cuenta, que el derecho de acceso a datos de carácter personal, es uno de los derechos de las personas consagradas en el Título III de la LOPD 15/1999

Así en el art. 15 de la LOPD 15/1999 se señala que el interesado tendrá derecho a:

Solicitar y obtener gratuitamenteinformación de sus datos de carácter personal sometidos a tratamiento “(mediante visualización, copia….) y lo que ocupa en esta consulta, es que en virtud del art.17no se exigirá contraprestación alguna por el ejercicio de los derechos contemplados en la ley. 

El reglamento de desarrollo 1720/ 2007 en el art.24, establece además que deberá concederse un medio sencillo y gratuito para el ejercicio de los derechos, no pudiendo establecer como tales medios el envío de cartas certificadas o servicios de telecomunicaciones que impliquen tarificación adicional o suponga un coste excesivo.

 

IMPORTANTE: 

No obstante este derecho solo podrá ser ejercido por el interesado a intervalos no inferiores a 12 meses, salvo que el interesado acredite un interés legítimo, en ese caso podrá ejercitarlo antes.

El PS/00560/2017 instruido por la AGPD, sanciona a la Empresa BILUA E-COMMERCE S.L , por no hacer efectiva la baja en la suscripción de una interesada y continuar enviando correos comerciales.

El día 7/06/2017 tuvo entrada en la Agencia el escrito de doña AAA, contra la entidad anteriormente citada, alegando que sigue recibiendo correos comerciales a pesar de que solicitó la bajay recibir confirmación de la misma.

La denunciante presenta la prueba de los correos confirmatorios de que la empresa procede a darle de baja de la suscripción.

A la vista de los hechos y en fase de actuaciones previas, los servicios de inspección de la Agencia, realizan dos solicitudes de información ala Empresa a través de sus sistemas, de las cuales no obtiene respuesta.

Los hechos expuestos suponen la comisión por parte del denunciado de una infracción del art. 21.1 de la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico, según el cual está prohibida toda comunicación publicitaria o promocional por correo electrónico cuando no haya sido expresamente autorizada por los destinatarios o solicitada.

 

A los efectos previstos según el art.127.b del RGLOPD le correspondería pagar 7.000 euros de multa, aunque al hacer el pago voluntario la cantidad se redujo.

 

IMPORTANTE:

El RGPD (UE)2016/679 prevé sanciones millonarias por las infracciones cometidas respecto al tratamiento de datos personales.

Página 1 de 5